LiveUpdate研究报告.doc

LiveUpdate研究报告 研究结论 1：目前运行的Symantec LiveUpdate Administrator 2.1 是否可接入SOMC 答：可以接入到SOMC 2. 有否方法提取LiveUpdate的升级日志数据给移动监控处定制些监控管理报表（主要 能反映升级数量、来源种类、升级成功率之类即可，能简单实现） 答： 可以获取liveUpdate能否成功更新软件包。 可以获取SEP升级的数量，是否升级，升级是否成功。 可以将liveUpdate和SEP 的升级信息转化为告警。如 升级不成功。 可以定制报表。 目前只研究出SEP的升级状况，对于客户端的升级状况尚未研究。 LiveUpdate升级架构 SEP服务器向LiveUpdate请求获取升级包，然后分发到客户端（client）。 LiveUpdate的研究报告 Liveupdate是一款使用tomcat和postgresql数据库的程序。 Postgresql数据库的地址为：localhost:7002 用户名密码为lua。 目前我未从数据库层面上研究任何升级信息。 通过配置 Tomcat的日志文件，可以获取SEP是否来update升级的日志,如下： 1 - - [11/Jul/2008:00:00:13 +0800] GET /clu-prod/minitri.flg HTTP/1.1 200 1 0 - - [11/Jul/2008:00:00:13 +0800] GET /clu-prod/liveupdate_9_chinesesimplified_livetri.zip HTTP/1.1 404 952 0 - - [11/Jul/2008:00:00:13 +0800] GET /clu-prod/minitri.flg HTTP/1.1 200 1 SEP的研究报告 SEP能够将日志以syslog的形式发送出去。 配置如下： SEP11的日志分析 系统日志-服务器活动.txt 能够反映SEP的升级信息，如是否升级成功。 2009-02-20 09:44:56,800,所下载文件是最新的,Symantec Endpoint Protection Win32 11.0.4000.2295 (English) 是最新的。 ,,,,bj-sep-mg01,站点 bj-sep-mg01 2009-02-20 09:44:05,800,LiveUpdate 重试失败，将再次重试,LiveUpdate 重试失败，将再试一次。,,,,bj-sep-mg01,站点 bj-sep-mg01 2009-02-20 09:44:05,900,LiveUpdate 所有进程启动失败,LiveUpdate 遇到一个或多个错误。 返回代码 = 4。,,,,bj-sep-mg01,站点 bj-sep-mg01SEP11的Syslog配置方法 登录防病毒服务器，打开防病毒控制台。 在控制台中，单击“管理员”。 单击“服务器”。 单击您要导出日志数据的本地站点或远程站点。 单击“配置外部日志”。 在“常规”选项卡上，选择将日志数据发送到文件的频率。 选择要处理外部日志的服务器。 如果您使用的是 Microsoft SQL，且有多个管理服务器连接到数据库，则只需要一个服务器作为主日志服务器。 选中“对 Syslog 服务器启用日志传送”。 根据需要配置下列字段： Syslog 服务器: 键入您要接收日志数据的 Syslog 服务器的 IP 地址或域名。 UDP 目标端口: 键入 Syslog 服务器用来侦听 Syslog 消息的目标端口，或者使用默认值。 日志工具: 键入您要用于 Syslog 配置文件的日志工具数目，或者使用默认值。有效值的范围为 0 到 23。 在“日志过滤器”选项卡上，选择要发送到文本文件的所有日志。如果您所选日志类型可选择严重性等级，请选中要保存的严重性等级。 单击“确定”。 SEP11的Syslog旧版本配置方法 配置需求 确保防病毒主服务器安装SNMP组件 设置防病毒服务器的SNMP 团体串为：Dcnln2006 已经配置防病毒服务器发送trap到SOC的Probe地址。  配置步骤 登录防病毒服务器，打开防病毒控制台。 启动AMS，如下图： 点击“配置AMS”,弹出图示如下： 下拉“Symantec AntiVirus Corporate Edition”,如下图： 需要配置的项目包括： “发现的病毒” “风险恢复失败” “风险已修复” 添加具体的配置，在参数配置页中（如下图所示）： 特别注意：下述配置需要注意区别和注意双引号。或者简单的办法是直接拷贝过去即可。 “发现的病毒”配置为： 告警名: Alert Name 告警计算